Add more security and audit

docker-compose.yml

@@ -18,6 +18,17 @@ services:
       timeout: 5s
       retries: 5
 
+  redis:
+    image: redis:7-alpine
+    container_name: leerdoelen_redis
+    restart: unless-stopped
+    command: redis-server --save "" --appendonly no --maxmemory 64mb --maxmemory-policy allkeys-lru --requirepass ${REDIS_PASSWORD:-changeme_redis}
+    healthcheck:
+      test: ["CMD", "redis-cli", "-a", "${REDIS_PASSWORD:-changeme_redis}", "ping"]
+      interval: 10s
+      timeout: 3s
+      retries: 3
+
   backend:
     # In productie: image uit de Gitea registry (gezet door CI/CD pipeline)
     # Lokaal ontwikkelen: verander naar 'build: ./backend'
@@ -40,6 +51,7 @@ services:
       GOOGLE_CLIENT_SECRET: ${GOOGLE_CLIENT_SECRET:-}
       BASE_URL: ${BASE_URL:-http://localhost}
       ORG_NAME: ${ORG_NAME:-GO! Scholengroep}
+      REDIS_URL: redis://:${REDIS_PASSWORD:-changeme_redis}@redis:6379/0
     volumes:
       - ./doelen:/app/doelen:ro   # JSON doelen bestanden (read-only)
     ports:
@@ -47,6 +59,8 @@ services:
     depends_on:
       db:
         condition: service_healthy
+      redis:
+        condition: service_healthy
 
   # Nginx container verwijderd — SSL offloading gebeurt door de host nginx.
   # Flask is bereikbaar op 127.0.0.1:${APP_PORT} van de host.